NIS-2: Warum die offizielle Betroffenheitsstatistik in Deutschland in die Irre führt

Die NIS-2-Registrierungspflicht hat ein erhebliches Medienecho ausgelöst. Im Mittelpunkt standen dabei rund 30.000 potenziell betroffene Unternehmen in Deutschland, neue Meldepflichten gegenüber dem BSI sowie persönliche Haftungsrisiken für die Geschäftsleitung.

Die tatsächlichen Zahlen sprechen jedoch eine andere Sprache: Zum Stichtag 6. März 2026 hatten sich laut BSI nur rund 11.500 Unternehmen registriert, eine Woche nach Fristablauf waren es etwa 14.000. Das ist keine statistische Ungenauigkeit, sondern ein gravierender Umsetzungsmangel.

Die Lücke ist groß und wirft grundlegende Fragen auf:

• zur Validität der Schätzmethodik (etwa NACE-/WZ-Klassifikationen, Destatis-/Eurostat-Daten),
• zur Wirksamkeit von Kommunikation und Sensibilisierung,
• zum Verhalten der betroffenen Unternehmen selbst.

Eine mangelhafte Datenbasis ist dabei unwahrscheinlich. Plausibler ist ein Zusammenspiel aus:

• unzureichender Ansprache der betroffenen Unternehmen,
• fehlender Klarheit über die eigene Betroffenheit,
• einer bewussten Abwarte-Haltung gegenüber Vorgaben und Sanktionen.

Unterm Strich ist die Entwicklung enttäuschend und riskant. Zumal Cybervorfälle zu den größten Geschäftsrisiken weltweit zählen. Umso wichtiger ist ein professioneller Umgang mit Betroffenheitsprüfung und Umsetzung der NIS-2-Anforderungen. Konkret verdienen drei Punkte eine genauere Betrachtung: die Verteilung wichtiger und besonders wichtiger Einrichtungen, die Gesamtzahl der Betroffenen und die Aussagekraft der Registrierungszahlen selbst.

Hauptgeschäft täuscht über Kritikalität hinweg

Die Gesetzgebung sieht vor, dass die Einordnung als „wichtige” oder „besonders wichtige” Einrichtung nicht von der primären Branchenzugehörigkeit abhängt, sondern von den tatsächlich ausgeübten Einrichtungsarten gemäß Anhang I und II der NIS-2-Richtlinie. In der Praxis greifen Unternehmen jedoch häufig zu einer vereinfachten Zuordnung: Sie bewerten ihr Hauptgeschäft und leiten daraus direkt ihre Kritikalität ab. Diese Vorgehensweise ist nicht belastbar. Maßgeblich ist nicht die dominierende Geschäftstätigkeit, sondern das Vorliegen einer Tätigkeit, die unter Anhang I fällt. Sie reicht aus, um ein Unternehmen als besonders wichtige Einrichtung einzustufen.

Ein Beispiel: Ein Industrieunternehmen, das IT-Infrastruktur betreibt oder entsprechende Leistungen für verbundene Unternehmen oder Dritte erbringt, kann funktional als Anbieter digitaler Dienste oder Managed Service Provider gelten. Die Einordnung verschiebt sich damit unabhängig von der ursprünglichen sektoralen Zuordnung. So können auch Unternehmen aus „Industrie/verarbeitendem Gewerbe” oder „Lebensmittel” als besonders wichtige Einrichtung eingestuft sein. Für Anbieter digitaler Dienste und Managed Service Provider greift zusätzlich die Durchführungsverordnung (EU) 2024/2690, die die NIS-2-Anforderungen aus dem BSIG konkretisiert. Daraus ergibt sich ein ISO-27001-ähnliches Pflichtprogramm mit regulatorischer Verbindlichkeit. Außerdem präzisiert die Verordnung, wann ein Sicherheitsvorfall als erheblich gilt und damit meldepflichtig wird.

Für die Betroffenheitsprüfung heißt das: Unternehmen müssen alle relevanten Tätigkeiten vollständig analysieren. Eine rein sektorale Betrachtung genügt nicht.

Die Schätzmodelle – auch die vom BSI kommunizierten Größenordnungen – stützen sich jedoch meist auf sektorale Zuordnung und statistische Unternehmensdaten. Der Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie nennt im Kapitel Erfüllungsaufwand insgesamt 29.850 betroffene Einrichtungen: 8.250 besonders wichtige und 21.600 wichtige. In den 8.250 besonders wichtigen Einrichtungen sind 4.693 Anbieter digitaler Dienste und Betreiber kritischer Anlagen enthalten, die bereits durch NIS-1 reguliert sind. Damit rechnet der Gesetzgeber mit nur 3.557 zusätzlichen besonders wichtigen Einrichtungen. Das ist deutlich zu niedrig angesetzt.

Es gibt deutlich mehr betroffene Einrichtungen

Aus der Praxis von Betroffenheitsprüfungen ergibt sich ein weiterer, bislang kaum beachteter Punkt: Rechtlich selbstständige Projektgesellschaften, die Anlagen in NIS-2-relevanten Sektoren betreiben und die Größenkriterien erfüllen (ggf. unter Berücksichtigung verbundener oder Partnerunternehmen), gelten als eigenständige Einrichtungen im Sinne der NIS-2-Richtlinie.

Projektgesellschaften bieten aus unternehmerischer Sicht erhebliche Vorteile, etwa:

• Haftungsabschirmung
• flexible Finanzierungsstrukturen
• Beteiligungsmodelle
• steuerliche Optimierung
• vereinfachte Exit-Optionen

Sie schaffen aber auch regulatorische Komplexität. Wer annimmt, dass diese Gesellschaften wegen geringer Größe, fehlender eigener IT-Systeme oder ausgelagerter Kerntätigkeiten nicht betroffen sind, sollte einen Blick auf die zahlreichen kleinen Netzgesellschaften werfen, die als betriebsgeführte Netzbetreiber bei der Bundesnetzagentur registriert sind. Dort ist die Zertifizierungspflicht konsequent durchgesetzt worden.

Im Energiesektor fällt das besonders ins Gewicht:

• Wind- und Solarparks sind typischerweise in personenlosen, eigenständigen Projektgesellschaften (z. B. GmbH & Co. KG) organisiert.
• Große Stadtwerke und Projektentwickler verfügen häufig über zweistellige Zahlen solcher Gesellschaften.
• Durch die Einbindung in Konzernstrukturen wird regelmäßig der Size-Cap bei der Mitarbeiterzahl überschritten – Mitarbeitende verbundener Unternehmen zählen additiv, die von Partnerunternehmen anteilig hinzu.

Jede dieser Projektgesellschaften kann eine eigenständige NIS-2-relevante Einrichtung sein und unterliegt damit der Registrierungspflicht. In anderen Sektoren gibt es Projektgesellschaften zwar ebenfalls, jedoch bei weitem nicht in der gleichen Skalierung und Systematik wie in der Energiebranche.

Nicht die Registrierung zählt, sondern die Prüfung

Die aktuelle Debatte fixiert sich stark auf die Zahl der registrierten Unternehmen. Das greift zu kurz: Die Registrierung ist nicht der Ausgangspunkt, sondern das Ergebnis einer vorherigen Betroffenheitsprüfung. Jedes Unternehmen muss eine solche Prüfung durchführen – die Frist für die Erstprüfung lief am 6. März 2026 ab, bei wesentlichen Änderungen ist sie zu aktualisieren. Das Ergebnis ist nachvollziehbar zu dokumentieren und kann gemäß § 32 Abs. 4 BSIG vom BSI abgefragt werden.

Im Eigeninteresse sollte jede Geschäftsführung daher sicherstellen,

• dass das Unternehmen seine Betroffenheit geprüft hat,
• dass die Prüfung methodisch korrekt erfolgt ist,
• dass daraus die richtigen Schlüsse gezogen wurden – etwa eine Registrierung.

Die Zahl der Registrierungen taugt damit nicht als Indikator für die tatsächliche Umsetzung der NIS-2-Anforderungen.

Die Illusion, nicht betroffen zu sein

Die Lücke zwischen erwarteten und tatsächlichen Registrierungszahlen ist kein rein methodisches Problem. Teils regiert der Zufall, teils fehlt es den Unternehmen an einem systematischen Umgang mit den NIS-2-Anforderungen.

Ein erheblicher Teil der betroffenen und nicht oder fehlerhaft gemeldeten Unternehmen hat sich bislang entweder nicht ausreichend mit der eigenen Betroffenheit befasst oder unterschätzt die regulatorischen Vorgaben. Etliche halten sich für wichtige Einrichtungen – tatsächlich sind sie besonders wichtige.

Hinzu kommen strukturelle Faktoren, allen voran die Vielzahl von Projektgesellschaften. Sie sprechen dafür, dass die tatsächliche Zahl betroffener Einrichtungen höher liegt als angenommen. Wie viel höher, lässt sich schwer beziffern. Fest steht: Es geht nicht um Dutzende oder Hunderte, sondern um Tausende.

Die Lage ist damit gleich mehrfach kritisch:

• Zu wenige Unternehmen registrieren sich, obwohl potenziell mehr Einrichtungen betroffen sind als angenommen.
• Viele Unternehmen registrieren sich fehlerhaft.
• Die Zahl der Registrierungen taugt nicht als Benchmark. Sie sagt nichts darüber aus, ob die Betroffenheit überhaupt geprüft, dokumentiert und auf Anforderung belegt werden kann.

Für jedes einzelne Unternehmen lässt sich das auf einen Punkt bringen:

„Die eigentliche Gefahr ist nicht NIS-2, sondern die Illusion, nicht betroffen zu sein.”

Autor

Dr. Jörg Cordsen ist Geschäftsführer bei der TTS Trusted Technologies and Solutions GmbH.